O que é a falha no site da Centauro

Na tarde de 3 de julho de 2025, uma grave falha no site da Centauro expôs dados sensíveis de seus clientes, permitindo acesso indevido apenas com informações mínimas de login, como CPF, e-mail ou CNPJ.

Relatos nas redes sociais mostraram que era possível acessar contas de terceiros inserindo apenas dados básicos de login, sem precisar da senha. A partir disso, qualquer pessoa podia visualizar dados privados, incluindo cartão de crédito, histórico de compras, endereços e telefone.

A falha afetou tanto computadores quanto dispositivos móveis, levando o site da Centauro a sair do ar temporariamente por volta de 15h, retornando apenas às 18h30, após aplicar o bloqueio de acesso via WAF. A Centauro declarou que o bug já foi corrigido e que não há previsão de acesso indevido contínuo.

Como funciona a vulnerabilidade

Especialistas apontam que o problema decorreu de uma falha lógica na API de autenticação, que liberava tokens de sessão sem verificar a senha, efetivamente burlando o fluxo de login seguro.

Sinais de alerta / Como identificar

Fique atento a atividades suspeitas em sua conta, como transações desconhecidas ou alterações não autorizadas em seus dados pessoais.

O que fazer agora / Como se proteger

1. Ative autenticação multifator (MFA) sempre que possível.
2. Use senhas fortes e únicas, além de gerenciadores de credenciais.
3. Monitore extratos e notificações de transações suspeitas.
4. Caso tenha conta na Centauro, troque imediatamente sua senha e revise os dados de cartão salvos.
5. Empresas devem realizar auditorias regulares de APIs de autenticação e reforçar testes de penetração (pentests).

Prevenção / Boas práticas

O incidente com a Centauro revela que mesmo grandes varejistas podem ter vulnerabilidades críticas em seus sistemas de login. Para proteger seus clientes e reputação, é essencial implementar autenticação forte, revisão de APIs e monitoramento constante.